GitHub Malware que ataca projetos no NetBeans IDE e usa o processo de construção para se espalhar. A investigação mostrou que usando o malware em questão, que recebeu o nome de Octopus Scanner, backdoors foram integrados secretamente em 26 projetos abertos com repositórios no GitHub. Os primeiros vestígios da manifestação do Octopus Scanner datam de agosto de 2018.
O malware é capaz de identificar arquivos de projeto NetBeans e adicionar seu código aos arquivos de projeto e arquivos JAR compilados. O algoritmo de trabalho se resume a encontrar o diretório NetBeans com os projetos do usuário, enumerar todos os projetos neste diretório, copiar o script malicioso para e fazendo alterações no arquivo para chamar esse script sempre que o projeto for compilado. Quando montado, uma cópia do malware é incluída nos arquivos JAR resultantes, que se tornam uma fonte de distribuição adicional. Por exemplo, arquivos maliciosos foram postados nos repositórios dos 26 projetos de código aberto mencionados acima, bem como em vários outros projetos ao publicar compilações de novos lançamentos.
Quando o arquivo JAR infectado foi baixado e iniciado por outro usuário, outro ciclo de busca pelo NetBeans e introdução de código malicioso foi iniciado em seu sistema, o que corresponde ao modelo operacional de vírus de computador autopropagáveis. Além da funcionalidade de autopropagação, o código malicioso também inclui funcionalidade backdoor para fornecer acesso remoto ao sistema. No momento do incidente, os servidores de controle backdoor (C&C) não estavam ativos.
No total, ao estudar os projetos afetados, foram identificadas 4 variantes de infecção. Em uma das opções, para ativar o backdoor no Linux, foi criado um arquivo de inicialização automática “$HOME/.config/autostart/octo.desktop” e, no Windows, as tarefas foram iniciadas via schtasks para iniciá-lo. Outros arquivos criados incluem:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
O backdoor poderia ser usado para adicionar marcadores ao código desenvolvido pelo desenvolvedor, vazar código de sistemas proprietários, roubar dados confidenciais e assumir o controle de contas. Os pesquisadores do GitHub não descartam que a atividade maliciosa não se limita ao NetBeans e pode haver outras variantes do Octopus Scanner incorporadas no processo de construção baseado em Make, MsBuild, Gradle e outros sistemas para se espalharem.
Os nomes dos projetos afetados não são mencionados, mas podem ser facilmente através de uma pesquisa no GitHub usando a máscara “cache.dat”. Entre os projetos em que foram encontrados vestígios de atividades maliciosas: , , , , , , , , , , , , .
Fonte: opennet.ru